返回
安全新技术简介.doc

安全新技术简介.doc

ID:51299510

大小:68.50 KB

页数:10页

时间:2020-03-21

安全新技术简介.doc_第1页
安全新技术简介.doc_第2页
安全新技术简介.doc_第3页
安全新技术简介.doc_第4页
安全新技术简介.doc_第5页
资源描述:

《安全新技术简介.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、启发式扫描传统上,影音解决方案已经强烈地依赖基于签名的扫描,也称为扫描字符串为基础的技术。基于签名的扫描文件,为在给定的(通常只有在某些地区也)搜索引擎存在某些字符吊。如果这些预定义的字符串被发现,像警报某些行动可以被触发。现代卜I描基于字符串的引擎还支持通配符在打描字符串,如使略多态恶意代码更容易检测。不过,基于签名的扫描仅检测已知的恶意软件,可能无法检测到对新的攻击的机制。启发式扫描特征码扫描类似,只不过不是在寻找特定的签名,在一个不属于典型的应用程序中的启发式扫描程序发现某些指令或命令的样了。因此,启发式引擎可以发现潜在的,如病痔

2、,蠕虫的分配或一个木马程序复制机制的冇效载荷在新的,以前未经审查,恶意功能的恶意功能。他们通过运用其巫量为基础的系统和/或规则为基础的系统(这两个会更详细地解释了木文后面)这一点。一种启发式引擎的垂量为基础的系统为基础,这是一个很IH风格的方式,利率每一个具冇…定巫量是根拥它的危险程度可能造成检测功能。如果这些权巫的总和达到…定的门槛,也可以触发报警。现在儿乎所有使用启发式方法实施规则为基础的系统。这童味着,该启发式引擎进行分析(分析仪)组件从文件中提取一定的规则,这规则将针对恶意代码的规则集进行比较。如果有匹配的规则,可以触发报警。第

3、一启发式检测引擎是在1989年推出DOS的病零。但是,现在存在着儿乎所冇种类的病毒(即使老式的,过时的儿乎一样啸风/PaixExcel4公式病壽)的启发式引擎。多年来,影音的发展令人印象深刻,并在运川了启发式引擎技术己经变得越来越复杂。第一启发式引擎进行简单的字符串或模式匹配操作来检测恶意代码,并常常被称为“最小化扫描字符串”启发。这方面的一个例子是在下面的代码示例从VBA5串显而易见的:Options.VirusProtection=0此字符串禁用内置Word97中的宏病毒保护。…对VBA的広病痔的启发式引擎的很多初步遏制这条线作为扫

4、描字符串。针对这种扫描字符审明显的攻击是改变了“0”表示。另一个可能的恶意串(如在宏病毒的变种夫妇像一些W97M/Coldape所示)可能是:Options.VirusProtection=1AND0这些技术,这是山病毒程序员介绍,被称为“反启发式”技术。他们强迫启发式扫描引擎,更精确的表达,并分析(在01和0的逻辑运算结果再次)。启发式引擎和加密的病毒从丿力史上看,启发式引擎只能评估他们看到了什么,这样一来,加密病毒引起他们的主要问题。在应对这个问题,现代启发式引擎,试图找出解密循环,摧毁他们,并评估加密根据附加功能检测到的循环存在。

5、那么,如何将AV扫描仪识别加密循环(如除m68k汇编作为当前PalmOS平台使用)?对冇下列条件/说明可能表明存在一个加密循环纽合:•初始化一个地址指针,一个有效的内存;•初始化一个计数器;•内存读操作取决于指针;•逻辑运算的结果在读记忆体;•存储器写操作的操作与逻辑的结果;•操纵柜台;以及•根据不同的分支柜台。一个简单的例了,可以除m68k汇编看起来像这样(汇编指令符合上述描述的条件/指令):利测试(件),A0的Move.1#10,d0的。循环move.b(a0的),D1的eor.b#0,DI的move.bDI的,(aO的)+subq

6、.1#1+»DObne.s。循环...测试dc.b''加密耳三次采油和重点0!"当然,上面的例了是一个很平凡的加密循环,一个是很容易被检测到的启发式引擎。然而,如何实现加密循环可以理解是实施启发式引擎,可以发现他们很能T•的皋础。因此,我们看到了病毒,尝试通过插入隐藏的加密代码或使垃圾循环加密长,所以很多启发式引擎循环(更准确地说,分析组件)获取混淆。如果我们在这些检测看,我们看到,在大多数情况下,加密循环检测是不够精确的一个确切的分类,为多种病毒可以使用相同的加密例程。在二元viruses111:界上,我们看到了加密引擎(TPE)的很

7、多;一般而言,这些宋病再是不符合共同的(例如,利用发动机的W97M/Pri相当频緊)多态引擎配介使用。因此,在检测和清除的目的,发动机经常交流和/或利用仿真系统,该系统已在其他的审情,有能力打破和/或模拟加密程序。加密后断裂(即循环结束的加密己经达到),现在的解码部分的启发式分析可以开始。根据不同的环境中,这种仿真过程是复杂的,因此,有些平台存在没有充分模拟器。VisualBasic的应用程序(VBA)和VisualBasic脚木(VBS的)是典型的复杂环境中的仿真器可以非常有助于打破加密,但是,一个完整的仿真是非常复杂的。在大多数情况

8、下(如W97M/AntiSocial家庭,它采用加密),加密指令的数量和高如宏或自动保些文件处理程序的典型去己经没有存在的仿真器的使用,完全足以检测这种宋病毒类。这是显而易见的从W97M/AntiSocia

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。